Licencias de Microsoft Entra
En este artículo se describen las licencias de los servicios de Microsoft Entra. Está pensado para responsables de la toma de decisiones de TI, administradores de TI y profesionales de TI que están considerando el uso de los servicios de Microsoft Entra para sus organizaciones. Este artículo no es para usuarios finales.
Importante
Si deseas obtener información sobre licencias de servicios que no aparecen aquí, consulta la documentación del servicio o la página de precios de Microsoft Entra ID.
Aprovisionamiento de aplicaciones
El proxy de aplicación de Microsoft Entra requiere licencias P1 o P2 de Microsoft Entra ID. Para más información sobre las licencias, vea Precios de Microsoft Entra.
Autenticación
En la siguiente tabla se enumeran las características disponibles para la autenticación en las distintas versiones de Microsoft Entra ID. Planee sus necesidades para proteger el inicio de sesión de usuario y determine qué enfoque cumple esos requisitos. Por ejemplo, aunque Microsoft Entra ID Free proporciona valores predeterminados de seguridad con autenticación multifactor, solo se puede utilizar Microsoft Authenticator para la solicitud de autenticación, incluidas las llamadas de voz y texto. Este enfoque puede ser una limitación si no puede asegurarse de que Authenticator está instalado en el dispositivo personal de un usuario.
| Característica | Microsoft Entra ID Gratis: Valores predeterminados de seguridad (habilitados para todos los usuarios) | Microsoft Entra ID Gratis: Solo administradores globales | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Protección de cuentas de administración de inquilinos de Microsoft Entra con MFA | ✅ | ✅ (solo cuentas de Administrador global de Microsoft Entra) | ✅ | ✅ | ✅ |
| Aplicación móvil como segundo factor | ✅ | ✅ | ✅ | ✅ | ✅ |
| Llamada de teléfono como segundo factor | ✅ | ✅ | ✅ | ||
| SMS como segundo factor | ✅ | ✅ | ✅ | ✅ | |
| Control administrativo sobre métodos de comprobación | ✅ | ✅ | ✅ | ✅ | |
| Alerta de fraude | ✅ | ✅ | |||
| Informes de MFA | ✅ | ✅ | |||
| Saludos personalizados para las llamadas de teléfono | ✅ | ✅ | |||
| Identificador de llamada personalizado para llamadas telefónicas | ✅ | ✅ | |||
| IP de confianza | ✅ | ✅ | |||
| Recordar MFA para dispositivos de confianza | ✅ | ✅ | ✅ | ✅ | |
| MFA para aplicaciones locales | ✅ | ✅ | |||
| Acceso condicional | ✅ | ✅ | |||
| Acceso condicional basado en riesgos | ✅ | ||||
| Autoservicio de restablecimiento de contraseña (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR con escritura diferida | ✅ | ✅ |
Identidades administradas
No hay requisitos de licencia para usar identidades administradas para recursos de Azure. Las identidades administradas para recursos de Azure proporcionan una identidad administrada automáticamente para que las aplicaciones se usen al conectarse a recursos que admiten la autenticación de Microsoft Entra. Una de las ventajas de usar identidades administradas es que no es necesario administrar credenciales y se pueden usar sin costo adicional. Para más información, consulte ¿Qué es Managed Identities for Azure Resources?
Microsoft Entra ID Governance
En la tabla siguiente se muestran los requisitos de licencia para las características de Gobierno de Microsoft Entra ID. La información de licencias y los escenarios de licencia de ejemplo para la administración de derechos, las revisiones de acceso y los flujos de trabajo de ciclo de vida se proporcionan siguiendo la tabla.
Características por licencia
En la siguiente tabla se muestran las características disponibles con cada licencia. No todas las características están disponibles en todas las nubes; consulte Disponibilidad de características de Microsoft Entra para Azure Government.
Administración de derechos
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica pueden funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso. | 2000 empleados que pueden solicitar los paquetes de acceso | 2\.000 |
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso. | 2000 empleados necesitan licencias. | 2.000 |
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Crean una directiva de asignación automática que concede a todos los miembros del departamento de ventas (350 empleados) acceso a un conjunto específico de paquetes de acceso. 350 empleados se asignan automáticamente a los paquetes de acceso. | 350 empleados necesitan licencias. | 351 |
Revisiones de acceso
El uso de esta característica requiere suscripciones a Gobierno de id. de Microsoft Entra para los usuarios de su organización, incluyendo a todos los empleados que estén revisando el acceso o que tengan su acceso revisado. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador crea una revisión de acceso del Grupo A con 75 usuarios y 1 propietario del grupo, y asigna el propietario del grupo como revisor. | 1 licencia para el propietario del grupo como revisor y 75 licencias para los 75 usuarios. | 76 |
| Un administrador crea una revisión de acceso del Grupo B con 500 usuarios y 3 propietarios de grupo, y asigna los 3 propietarios de grupo como revisores. | 500 licencias para usuarios y 3 licencias para cada propietario de grupo como revisores. | 503 |
| Un administrador crea una revisión de acceso del Grupo B con 500 usuarios. Realiza una autorrevisión. | 500 licencias para cada usuario como revisores | 500 |
| Un administrador crea una revisión de acceso del Grupo C con 50 usuarios miembros. Realiza una autorrevisión. | 50 licencias para cada usuario como autorrevisores. | 50 |
| Un administrador crea una revisión de acceso del Grupo D con 6 usuarios miembros. Realiza una autorrevisión. | 6 licencias para cada usuario como revisores. No se necesitan licencias adicionales. | 6 |
Flujos de trabajo de ciclo de vida
Con las licencias de Gobernanza de Microsoft Entra ID para flujos de trabajo de ciclo de vida, puede hacer lo siguiente:
- Crear, administrar y eliminar flujos de trabajo hasta un límite total de 50 flujos de trabajo.
- Desencadenar la ejecución de flujo de trabajo a petición y de forma programada.
- Administrar y configurar las tareas existentes para crear flujos de trabajo específicos de sus necesidades.
- Crear hasta 100 extensiones de tareas personalizadas que se usarán en los flujos de trabajo.
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización.
Escenarios de licencia de ejemplo
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para agregar nuevas contrataciones en el departamento de Marketing al grupo de equipos de Marketing. A través de este flujo de trabajo, se asignan 250 nuevas contrataciones al grupo de equipos de Marketing. | 1 licencia para el administrador de flujos de trabajo de ciclo de vida y 250 licencias para los usuarios. | 251 |
| Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para dar de baja con antelación a un grupo de empleados antes de su último día de trabajo. El ámbito de los usuarios que se darán de baja con antelación es de 40 usuarios. | 40 licencias para los usuarios y 1 licencia para el administrador de flujos de trabajo de ciclo de vida. | 41 |
Microsoft Entra Connect
El uso de esta característica es gratis y está incluido en su suscripción de Azure.
Microsoft Entra Connect Health
El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Acceso condicional de Microsoft Entra
El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Los clientes con licencias de Microsoft 365 Empresa Premium también tienen acceso a características de acceso condicional.
Las directivas basadas en riesgo requieren acceso a Identity Protection, que es una característica de Microsoft Entra ID P2.
Otros productos y características que podrían interactuar con las directivas de acceso condicional requieren licencias adecuadas para esos productos y características.
Cuando las licencias necesarias para el acceso condicional expiran, las directivas no se deshabilitan ni eliminan automáticamente. Esto permite a los clientes migrar de las directivas de acceso condicional sin un cambio repentino en su posición de seguridad. Las directivas restantes se pueden ver y eliminar, pero ya no se actualizan.
Los valores predeterminados de seguridad sirven de protección contra ataques relacionados con la identidad y están disponibles para todos los clientes.
Protección de Microsoft Entra ID
El uso de esta característica requiere licencias de Microsoft Entra ID P2. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
| Funcionalidad | Detalles | Microsoft Entra ID Gratis /Aplicaciones de Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Directivas de riesgo | Directivas de riesgo de inicio de sesión y de usuario (mediante Identity Protection o el acceso condicional) | No | No | Sí |
| Informes de seguridad | Información general | No | No | Sí |
| Informes de seguridad | Usuarios de riesgo | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Información limitada. Solo se muestran los usuarios con riesgo medio y alto. No hay ningún cajón de detalles ni historial de riesgos. | Acceso total |
| Informes de seguridad | Inicios de sesión no seguros | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Información limitada. No se muestran detalles del riesgo ni el nivel de riesgo. | Acceso total |
| Informes de seguridad | Detecciones de riesgo | No | Información limitada. No hay ningún cajón de detalles. | Acceso total |
| Notificaciones | Alertas detectadas sobre usuarios en riesgo | No | No | Sí |
| Notificaciones | Resumen semanal | No | No | Sí |
| Directiva de registro de MFA | No | No | Sí |
Supervisión y mantenimiento de Microsoft Entra
Los roles y licencias necesarios variarán en función del informe. Se requieren permisos independientes para acceder a los datos de supervisión y mantenimiento en Microsoft Graph. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.
| Registro o informe | Roles | Licencias |
|---|---|---|
| Auditoría | Lector de informes Lector de seguridad Administrador de seguridad Lector global |
Todas las ediciones de Microsoft Entra ID |
| Inicios de sesión | Lector de informes Lector de seguridad Administrador de seguridad Lector global |
Todas las ediciones de Microsoft Entra ID |
| Aprovisionamiento | Lector de informes Lector de seguridad Administrador de seguridad Lector global Operador de seguridad Administrador de aplicaciones Administrador de aplicaciones en la nube |
Microsoft Entra ID P1 o P2 |
| Registros de auditoría de atributos de seguridad personalizados* | Administrador del registro de atributos Lector de registro de atributos |
Todas las ediciones de Microsoft Entra ID |
| Uso y conclusiones | Lector de informes Lector de seguridad Administrador de seguridad |
Microsoft Entra ID P1 o P2 |
| Protección de identidad** | Administrador de seguridad Operador de seguridad Lector de seguridad Lector global |
Microsoft Entra ID Free Aplicaciones de Microsoft 365 Microsoft Entra ID P1 o P2 |
| Registros de actividad de Microsoft Graph | Administrador de seguridad Permisos para acceder a los datos en el destino de registro correspondiente |
Microsoft Entra ID P1 o P2 |
*La visualización de los atributos de seguridad personalizados en los registros de auditoría o la creación de una configuración de diagnóstico para atributos de seguridad personalizados requiere uno de los roles del registro de atributos. También se necesita el rol adecuado para ver los registros de auditoría estándar.
**El nivel de acceso y las funcionalidades de Identity Protection varían con el rol y la licencia. Para más información, consulte los requisitos de licencia de Identity Protection.
Microsoft Entra Privileged Identity Management (PIM)
Para usar Microsoft Entra Privileged Identity Management, el inquilino debe tener una licencia válida. Además, deben asignarse licencias a los administradores y usuarios pertinentes. Este artículo describe los requisitos de licencia para usar Privileged Identity Management. Para usar Privileged Identity Management, debe tener una de las licencias siguientes:
Licencias válidas para PIM
Necesita licencias de gobernanza de Microsoft Entra ID o licencias P2 de Microsoft Entra ID para usar PIM y toda su configuración. Actualmente, puede definir el ámbito de una revisión de acceso para abarcar las entidades de servicio con acceso a Microsoft Entra ID, los roles de recursos con una licencia de Microsoft Entra ID P2 o los usuarios con la edición de Gobierno de Microsoft Entra ID activa en el inquilino. El modelo de licencia para entidades de servicio finalizará para la disponibilidad general de esta característica y es posible que se requieran licencias adicionales.
Licencias que debe tener para PIM
Asegúrese de que su directorio tenga licencias de Gobierno de Microsoft Entra ID P2 o Gobierno de Microsoft Entra ID para las siguientes categorías de usuarios:
- Usuarios con asignaciones elegibles y/o limitadas en el tiempo a Microsoft Entra ID o roles Azure administrados mediante PIM
- Usuarios con asignaciones aptas o con límites de tiempo como miembros o propietarios de PIM para grupos
- Los usuarios que pueden aprobar o rechazar solicitudes de activación en PIM
- Los usuarios asignados a una revisión de acceso
- Los usuarios que realizan revisiones de acceso
Escenarios de licencia de ejemplo para PIM
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Woodgrove Bank tiene 10 administradores para diferentes departamentos y 2 Administradores de roles con privilegios que configuran y administran PIM. Eso hace cinco administradores válidos. | Cinco licencias para los administradores que sean válidos | 5 |
| Graphic Design Institute tiene 25 administradores, de los cuales 14 se administran a través de PIM. La activación de roles necesita aprobación y hay tres usuarios diferentes en la organización que pueden aprobar las activaciones. | 14 licencias para los roles válidos + 3 aprobadores | 17 |
| Contoso tiene 50 administradores, de los cuales 42 se administran a través de PIM. La activación de roles necesita aprobación y hay cinco usuarios diferentes en la organización que pueden aprobar las activaciones. Contoso también realiza revisiones mensuales de los usuarios asignados a roles de administrador y los revisores son los administradores de los usuarios, de los cuales seis no tienen roles de administrador administrados por PIM. | 42 licencias para los roles válidos + 5 aprobadores + 6 revisores | 53 |
Cuando una licencia expira para PIM
Si expira una licencia de Microsoft Entra ID P2, gobierno de Microsoft Entra ID o una licencia de prueba, las características de Privileged Identity Management ya no estará disponibles en el directorio:
- Las asignaciones de roles permanentes a los roles de Microsoft Entra ID no se verán afectadas.
- El servicio Privileged Identity Management en el Centro de administración Microsoft Entra, y los cmdlets de Graph API y las interfaces de PowerShell de Privileged Identity Management, ya no estarán disponibles para que los usuarios activen roles con privilegios, administren el acceso con privilegios o realicen revisiones de acceso de roles con privilegios.
- Se quitan las asignaciones de roles aptas de roles de Microsoft Entra ID, ya que los usuarios ya no pueden activar roles con privilegios.
- Las revisiones de acceso continuas de los roles de Microsoft Entra finalizan y se quitan las opciones de configuración de Privileged Identity Management.
- Privileged Identity Management ya no envía correos electrónicos en los cambios de asignación de roles.
Id. verificada por Microsoft Entra
Id. verificada por Microsoft Entra se incluye actualmente con cualquier suscripción de Microsoft Entra, incluido Microsoft Entra ID Gratis, sin costo adicional. Para obtener información sobre la Id. verificada y cómo habilitarlo, consulte Introducción a Id. verificada por Microsoft Entra.
Organizaciones multiinquilino
En el inquilino de origen: necesita licencias de Microsoft Entra ID P1 para usar esta característica. Cada usuario que se sincroniza con la sincronización entre inquilinos debe tener una licencia P1 en su inquilino de inicio u origen. Para encontrar la licencia adecuada para sus requisitos, consulte Planes y precios de Microsoft Entra ID.
En el inquilino de destino: la sincronización entre inquilinos se basa en el modelo de facturación de Microsoft Entra External ID. Para comprender el modelo de licencias de identidades externas, consulte Modelo de facturación de MAU para Microsoft Entra External ID. También necesita al menos una licencia de Microsoft Entra ID P1 en el inquilino de destino para habilitar el canje automático.
Control de acceso basado en rol
El uso de roles integrados en Microsoft Entra ID es gratuito. El uso de roles personalizados requiere una licencia de Microsoft Entra ID P1 para cada usuario con una asignación de rol personalizado. Para obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de las ediciones Gratis y Prémium.
Roles
Unidades administrativas
El uso de unidades administrativas requiere una licencia de Microsoft Entra ID P1 para cada administrador de la unidad administrativa que tenga asignados roles de directorio en el ámbito de la unidad administrativa, y una licencia de Microsoft Entra ID gratuita para cada miembro de las unidades administrativas. La creación de unidades administrativas está disponible con una licencia de Microsoft Entra ID gratuita. Si usa reglas de pertenencia dinámica para las unidades administrativas, cada miembro de la unidad administrativa requiere una licencia de Microsoft Entra ID P1. Para obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de las ediciones Gratis y Prémium.
Unidades administrativas de administración restringida
El uso de unidades administrativas de administración restringida requiere una licencia P1 de Microsoft Entra ID para cada administrador de unidad administrativa y licencias Gratis para los miembros de las unidades administrativas. Para obtener la licencia correcta para sus requisitos, consulte Comparación de las características con disponibilidad general de las ediciones Gratis y Prémium.
Características en versión preliminar
La información de licencias de las características que se encuentran actualmente en versión preliminar se incluye aquí cuando es aplicable. Para obtener más información sobre las características en versión preliminar, consulte ¿Qué novedades hay en Microsoft Entra ID?
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de